系列文章：Kubernetes日志采集最佳实践

时间 2020-05-10

原文原文链接

前言html

上一期主要介绍Kubernetes日志输出的一些注意事项，日志输出最终的目的仍是作统一的采集和分析。在Kubernetes中，日志采集和普通虚拟机的方式有很大不一样，相对实现难度和部署代价也略大，但若使用恰当则比传统方式自动化程度更高、运维代价更低。node

Kubernetes日志采集难点web

在Kubernetes中，日志采集相比传统虚拟机、物理机方式要复杂不少，最根本的缘由是Kubernetes把底层异常屏蔽，提供更加细粒度的资源调度，向上提供稳定、动态的环境。所以日志采集面对的是更加丰富、动态的环境，须要考虑的点也更加的多。docker

例如：缓存

对于运行时间很短的Job类应用，从启动到中止只有几秒的时间，如何保证日志采集的实时性可以跟上并且数据不丢？
K8s通常推荐使用大规格节点，每一个节点能够运行10-100+的容器，如何在资源消耗尽量低的状况下采集100+的容器？
在K8s中，应用都以yaml的方式部署，而日志采集仍是以手工的配置文件形式为主，如何可以让日志采集以K8s的方式进行部署？

Kubernetes传统方式日志种类文件、stdout、宿主机文件、journal文件、journal日志源业务容器、系统组件、宿主机业务、宿主机采集方式Agent（Sidecar、DaemonSet）、直写（DockerEngine、业务）Agent、直写单机应用数10-1001-10应用动态性高低节点动态性高低采集部署方式手动、Yaml手动、自定义运维

采集方式：主动 or 被动异步

日志的采集方式分为被动采集和主动推送两种，在K8s中，被动采集通常分为Sidecar和DaemonSet两种方式，主动推送有DockerEngine推送和业务直写两种方式。ide

DockerEngine自己具备LogDriver功能，可经过配置不一样的LogDriver将容器的stdout经过DockerEngine写入到远端存储，以此达到日志采集的目的。这种方式的可定制化、灵活性、资源隔离性都很低，通常不建议在生产环境中使用。
业务直写是在应用中集成日志采集的SDK，经过SDK直接将日志发送到服务端。这种方式省去了落盘采集的逻辑，也不须要额外部署Agent，对于系统的资源消耗最低，但因为业务和日志SDK强绑定，总体灵活性很低，通常只有日志量极大的场景中使用。
DaemonSet方式在每一个node节点上只运行一个日志agent，采集这个节点上全部的日志。DaemonSet相对资源占用要小不少，但扩展性、租户隔离性受限，比较适用于功能单一或业务不是不少的集群。
Sidecar方式为每一个POD单独部署日志agent，这个agent只负责一个业务应用的日志采集。Sidecar相对资源占用较多，但灵活性以及多租户隔离性较强，建议大型的K8S集群或做为PAAS平台为多个业务方服务的集群使用该方式。

总结下来：DockerEngine直写通常不推荐；业务直写推荐在日志量极大的场景中使用；DaemonSet通常在中小型集群中使用；Sidecar推荐在超大型的集群中使用。详细的各类采集方式对好比下：性能

DockerEngine业务直写DaemonSet方式Sidecar方式采集日志类型标准输出业务日志标准输出+部分文件文件部署运维低，原生支持低，只需维护好配置文件便可通常，需维护DaemonSet较高，每一个须要采集日志的POD都须要部署sidecar容器日志分类存储没法实现业务独立配置通常，可经过容器/路径等映射每一个POD可单独配置，灵活性高多租户隔离弱弱，日志直写会和业务逻辑竞争资源通常，只能经过配置间隔离强，经过容器进行隔离，可单独分配资源支持集群规模本地存储无限制，若使用syslog、fluentd会有单点限制无限制取决于配置数无限制资源占用低，dockerengine提供总体最低，省去采集开销较低，每一个节点运行一个容器较高，每一个POD运行一个容器查询便捷性低，只能grep原始日志高，可根据业务特色进行定制较高，可进行自定义的查询、统计高，可根据业务特色进行定制可定制性低高，可自由扩展低高，每一个POD单独配置耦合度高，与DockerEngine强绑定，修改须要重启DockerEngine高，采集模块修改/升级须要从新发布业务低，Agent可独立升级通常，默认采集Agent升级对应Sidecar业务也会重启（有一些扩展包能够支持Sidecar热升级）适用场景测试、POC等非生产场景对性能要求极高的场景日志分类明确、功能较单一的集群大型、混合型、PAAS型集群学习

日志输出：Stdout or 文件

和虚拟机/物理机不一样，K8s的容器提供标准输出和文件两种方式。在容器中，标准输出将日志直接输出到stdout或stderr，而DockerEngine接管stdout和stderr文件描述符，将日志接收后按照DockerEngine配置的LogDriver规则进行处理；日志打印到文件的方式和虚拟机/物理机基本相似，只是日志可使用不一样的存储方式，例如默认存储、EmptyDir、HostVolume、NFS等。

虽然使用Stdout打印日志是Docker官方推荐的方式，但你们须要注意这个推荐是基于容器只做为简单应用的场景，实际的业务场景中咱们仍是建议你们尽量使用文件的方式，主要的缘由有如下几点：

Stdout性能问题，从应用输出stdout到服务端，中间会通过好几个流程（例如广泛使用的JSON LogDriver）：应用stdout -> DockerEngine -> LogDriver -> 序列化成JSON -> 保存到文件 -> Agent采集文件 -> 解析JSON -> 上传服务端。整个流程相比文件的额外开销要多不少，在压测时，每秒10万行日志输出就会额外占用DockerEngine 1个CPU核。
Stdout不支持分类，即全部的输出都混在一个流中，没法像文件同样分类输出，一般一个应用中有AccessLog、ErrorLog、InterfaceLog（调用外部接口的日志）、TraceLog等，而这些日志的格式、用途不一，若是混在同一个流中将很难采集和分析。
Stdout只支持容器的主程序输出，若是是daemon/fork方式运行的程序将没法使用stdout。
文件的Dump方式支持各类策略，例如同步/异步写入、缓存大小、文件轮转策略、压缩策略、清除策略等，相对更加灵活。

所以咱们建议线上应用使用文件的方式输出日志，Stdout只在功能单一的应用或一些K8s系统/运维组件中使用。

CICD集成：Logging Operator

Kubernetes提供了标准化的业务部署方式，能够经过yaml（K8s API）来声明路由规则、暴露服务、挂载存储、运行业务、定义缩扩容规则等，因此Kubernetes很容易和CICD系统集成。而日志采集也是运维监控过程当中的重要部分，业务上线后的全部日志都要进行实时的收集。

原始的方式是在发布以后手动去部署日志采集的逻辑，这种方式须要手工干预，违背CICD自动化的宗旨；为了实现自动化，有人开始基于日志采集的API/SDK包装一个自动部署的服务，在发布后经过CICD的webhook触发调用，但这种方式的开发代价很高。

在Kubernetes中，日志最标准的集成方式是以一个新资源注册到Kubernetes系统中，以Operator（CRD）的方式来进行管理和维护。在这种方式下，CICD系统不须要额外的开发，只需在部署到Kubernetes系统时附加上日志相关的配置便可实现。

Kubernetes日志采集方案

早在Kubernetes出现以前，咱们就开始为容器环境开发日志采集方案，随着K8s的逐渐稳定，咱们开始将不少业务迁移到K8s平台上，所以也基于以前的基础专门开发了一套K8s上的日志采集方案。主要具有的功能有：

支持各种数据的实时采集，包括容器文件、容器Stdout、宿主机文件、Journal、Event等；
支持多种采集部署方式，包括DaemonSet、Sidecar、DockerEngine LogDriver等；
支持对日志数据进行富化，包括附加Namespace、Pod、Container、Image、Node等信息；
稳定、高可靠，基于阿里自研的Logtail采集Agent实现，目前全网已有几百万的部署实例；
基于CRD进行扩展，可以使用Kubernetes部署发布的方式来部署日志采集规则，与CICD完美集成。

安装日志采集组件

目前这套采集方案已经对外开放，咱们提供了一个Helm安装包，其中包括Logtail的DaemonSet、AliyunlogConfig的CRD声明以及CRD Controller，安装以后就能直接使用DaemonSet采集以及CRD配置了。安装方式以下：

阿里云Kubernetes集群在开通的时候能够勾选安装，这样在集群建立的时候会自动安装上述组件。若是开通的时候没有安装，则能够手动安装。
若是是自建的Kubernetes，不管是在阿里云上自建仍是在其余云或者是线下，也可使用这样采集方案，具体安装方式参考[自建Kubernetes安装]()。

安装好上述组件以后，Logtail和对应的Controller就会运行在集群中，但默认这些组件并不会采集任何日志，须要配置日志采集规则来采集指定Pod的各种日志。

采集规则配置：环境变量 or CRD

除了在日志服务控制台上手动配置以外，对于Kubernetes还额外支持两种配置方式：环境变量和CRD。

环境变量是自swarm时代一直使用的配置方式，只须要在想要采集的容器环境变量上声明须要采集的数据地址便可，Logtail会自动将这些数据采集到服务端。这种方式部署简单，学习成本低，很容易上手；但可以支持的配置规则不多，不少高级配置（例如解析方式、过滤方式、黑白名单等）都不支持，并且这种声明的方式不支持修改/删除，每次修改其实都是建立1个新的采集配置，历史的采集配置须要手动清理，不然会形成资源浪费。

CRD配置方式是很是符合Kubernetes官方推荐的标准扩展方式，让采集配置以K8s资源的方式进行管理，经过向Kubernetes部署AliyunLogConfig这个特殊的CRD资源来声明须要采集的数据。例以下面的示例就是部署一个容器标准输出的采集，其中定义须要Stdout和Stderr都采集，而且排除环境变量中包含COLLEXT_STDOUT_FLAG：false的容器。基于CRD的配置方式以Kubernetes标准扩展资源的方式进行管理，支持配置的增删改查完整语义，并且支持各类高级配置，是咱们极其推荐的采集配置方式。

采集规则推荐的配置方式

实际应用场景中，通常都是使用DaemonSet或DaemonSet与Sidecar混用方式，DaemonSet的优点是资源利用率高，但有一个问题是DaemonSet的全部Logtail都共享全局配置，而单一的Logtail有配置支撑的上限，所以没法支撑应用数比较多的集群。上述是咱们给出的推荐配置方式，核心的思想是：

一个配置尽量多的采集同类数据，减小配置数，下降DaemonSet压力；
核心的应用采集要给予充分的资源，可使用Sidecar方式；
配置方式尽量使用CRD方式；
Sidecar因为每一个Logtail是单独的配置，因此没有配置数的限制，这种比较适合于超大型的集群使用。

实践1-中小型集群

绝大部分Kubernetes集群都属于中小型的，对于中小型没有明确的定义，通常应用数在500之内，节点规模1000之内，没有职能明确的Kubernetes平台运维。这种场景应用数不会特别多，DaemonSet能够支撑全部的采集配置：

绝大部分业务应用的数据使用DaemonSet采集方式
核心应用（对于采集可靠性要求比较高，例如订单/交易系统）使用Sidecar方式单独采集

实践2-大型集群

对于一些用做PAAS平台的大型/超大型集群，通常业务在1000以上，节点规模也在1000以上，有专门的Kubernetes平台运维人员。这种场景下应用数没有限制，DaemonSet没法支持，所以必须使用Sidecar方式，总体规划以下：

Kubernetes平台自己的系统组件日志、内核日志相对种类固定，这部分日志使用DaemonSet采集，主要为平台的运维人员提供服务；
各个业务的日志使用Sidecar方式采集，每一个业务能够独立设置Sidecar的采集目的地址，为业务的DevOps人员提供足够的灵活性。

上云就看云栖号：更多云资讯，上云案例，最佳实践，产品入门，访问：https://yqh.aliyun.com/

本文为阿里云原创内容，未经容许不得转载。